Indirector: что скрывается за новой уязвимостью процессоров Intel

Современные процессоры Intel, включая поколения Raptor Lake и Alder Lake, оказались уязвимы к новой высокоточной атаке типа Branch Target Injection (BTI), получившей название «Indirector». Эта атака может использоваться для кражи конфиденциальной информации из процессора.

Атаку выявили исследователи из Калифорнийского университета в Сан-Диего. Полные детали будут представлены на предстоящем симпозиуме USENIX Security Symposium в августе 2024 года.

Indirector эксплуатирует уязвимости в двух аппаратных компонентах современных процессоров Intel: Indirect Branch Predictor (IBP) и Branch Target Buffer (BTB). Эти компоненты предназначены для предсказания целевых адресов косвенных и прямых переходов, используя историческую информацию о выполнении команд.

Исследователи обнаружили, что системы IBP и BTB имеют недостатки в механизмах индексирования, тегирования и совместного использования записей, что позволяет целенаправленно манипулировать этими структурами.

Атака Indirector использует три основных механизма:

• iBranch Locator: специальный инструмент, использующий методы вытеснения для определения индексов и тегов уязвимых ветвей и точного определения записей IBP для конкретных ветвей.
• IBP/BTB инъекции: целевые инъекции в предсказательные структуры для выполнения спекулятивного кода.
• Обход ASLR: определение точных местоположений косвенных ветвей и их целей, что упрощает предсказание и манипуляцию потоком управления защищёнными процессами.

Используя эти механизмы, атакующий может применить методы кэширования по побочному каналу, такие как измерение времени доступа, чтобы выявить данные, к которым был доступ.

Атака Indirector воздействует на процессоры Intel 12-го и 13-го поколений (Raptor Lake и Alder Lake). Компания Intel была уведомлена об уязвимости в феврале 2024 года и проинформировала затронутых производителей аппаратного и программного обеспечения.

Исследователи предложили два основных способа защиты от атак Indirector:

• Более агрессивное использование барьера предсказания косвенных ветвей (IBPB).
• Усиление дизайна блока предсказания ветвей (BPU) путём включения более сложных тегов, шифрования и рандомизации.

Тем не менее, применение этих мер защиты сопряжено с существенными потерями в производительности. Например, на Linux IBPB активируется по умолчанию при переходах в режим SECCOMP или задачах с ограниченными косвенными ветвями в ядре, но его использование ограничено из-за 50% падения производительности.

Более подробная информация об атаке Indirector, методах атаки, потенциальных механизмах утечки данных и предложенных мерах защиты представлена в технической статье исследователей. Также они опубликовали на GitHub доказательства концепции и инструменты для своих атак.